扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共3页)
现在的木马、病毒融入了很多最新的技术,系统中的杀毒软件纷纷被“杀”,竟然连声“救命”都没有来得及喊,就悄无声息地倒下了。这让崇尚安全第一的我们怎么忍受?杀毒软件“出师未捷身先死”,确实有些窝囊。这除了自身的原因外,我们应该从系统找找根源,让它更健壮,使它名副其实,至少在被杀之前喊声“救命”!
一、案例追踪
案例一:卡巴斯基被“咔嚓”了
1.症状:桌面右下角的卡巴斯基的图标变灰,系统安全实时监控停止,系统时间被改。双击卡巴图标提示:授权过期,购买新的授权文件。更改回系统时间,卡巴斯基图标变红,但不一会再次变灰,系统时间也被改。(图1)
图1
2.原因:卡巴斯基的正版认证方式成了卡巴的软肋。由于卡巴斯基会为了防止盗版,实时检测系统日期,以判断软件是否已经超过授权的使用期限。当发现软件许可过期时会立即关闭所有的监控,同时主程序也无法扫描病毒,并且需要用户输入新的序列号。所以这是没办法的事,一直以来卡巴都如此!因此只要一个批处理文件,就“杀”死了卡巴。
@echo off
setdate=%date%
date 1987-02-06
ping-n 45 localhost >nul
date %date%
病毒、木马在运行之前,先释放并运行类似的脚本文件,解决掉卡巴,然后自己大摇大摆地进驻系统。
3.救治:
第一步:更改回系统时间。(最好在安全模式下。)
第二步:在“开始菜单”→“运行”(里输入gpedit.msc,打开组策略,依然选择“计算机配置→windows设置”→安全设置→本地策略→用户权利指派→更改系统时间”(右边),然后双击(或者是右键单击,选择“属性”)打开“更新系统时间配置”属性对话框,把里面所有权限用户名全部删除,然后点击确定,重启计算机。这样做的原理是取消用户更改时间的权限,因为病毒大都是以当前用户的权限运行的,用户没有相关权限,病毒、木马也就不能。
第三步:重启系统后卡巴斯基就可以运行,进行全面杀毒。手工清除注册表中的自启动项下的相关键值。
提示:一旦删除,时间就可以得到保障,将来如果想要更改时间的话,可以通过添加用户和组来新建一个帐户,然后就可以更改时间了。或者在组策略中恢复用户更改时间的权限。(图2)
图2
案例二:瑞星被劫持
1.症状:开机后瑞星实时监控没有运行,打开“任务管理器”,没有与瑞星相关的进程。快捷方式运行瑞星没有任何反映。到瑞星的安装目录下,目录下的文件没有更改或者删除的迹象。
2.原因:WINDOWS NT系统在试图执行一个从命令行调用的可执行文件运行请求时,先会检查运行程序是不是可执行文件,如果是的话,再检查格式的,然后就会检查注表"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImageFileExecution Options"项下该命令对应的程序文件,如果有就执行对应的程序文件,没有的话执行真正的程序文件。因为这个注册表项的优先级高,因此就会产生欺骗,也就是映像劫持。瑞星2008比较好地杜绝了taskkill、ntsd命令对其进程的操作,但没有解决映像劫持。病毒木马通过添加相关的项,让自己运行而瑞星不能运行。然后病毒、木马就可以屠城了,对系统肆意杀戮,当然包括瑞星。
比如通过一个批处理就可以让QQ劫持瑞星:
@echo off
reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavTask.exe"
reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution OptionsRavTask.exe" /v RavTask.exe /t REG_EXPAND_SZ /d %*%
exit
注:*为你的QQ主文件的路径。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。